家庭局域网服务对外暴露,如何确保安全

2023-05-15 12:25:24 +08:00
 abcfreedom

家里有一些服务,比如 Nas 和各种虚拟机,为了方便在外面使用,我在内网搭了一个 ss ,外网通过 ss 协议连接到该服务,再进行局域网的访问。这个方案有一个风险点是,如果 ss 的密码暴露了,那么拿到密码的人就也可以访问家里局域网了。目前这套方案运行了两年多时间,可能没有出什么问题,也可能出了问题我没有察觉到。虽然局域网内的各个服务都有密码,但还是感觉不太踏实。

想咨询一下 v 友们有没有什么安全策略,比如局域网的监控服务、或者其他更好的对外暴露内网服务的方案。

5539 次点击
所在节点    程序员
41 条回复
leaflxh
2023-05-15 17:16:10 +08:00
自己写个 port knocker ,手动操作,ip to ip 防火墙放通
tyhunter
2023-05-15 17:32:14 +08:00
我是 IPV6 DDNS+端口转发+SS ,SS 用的大小写+字符,除非主动泄露
如果还想加强安全,可以考虑搭建一台跳板机转发 SS 请求?
设备-->跳板机转发-->本机端口转发(白名单只接受跳板机 IP)-->SS 端口
但这样速度就不如直接 DDNS 来的直接了
yaott2020
2023-05-15 18:04:13 +08:00
wireguard 回家,安全性速度兼有
abcfreedom
2023-05-15 19:10:39 +08:00
@duduke 话说开放 vmess 和开放 ss 安全性是不是一样呢
abcfreedom
2023-05-15 19:11:40 +08:00
@yanyuechuixue
@ysc3839
@deplivesb
@Jhma
@shangyu7
@sadfQED2
@blankmiss
感谢大佬们的建议,我去调研一下
abcfreedom
2023-05-15 19:12:23 +08:00
@janzwong 学到了,目前是只开放了 ss 的端口到公网,黑名单 ip 之前还没太搞过,我去查查,感谢大佬
deplivesb
2023-05-15 19:13:09 +08:00
@yaott2020 我这 wireguard 回家速度很慢,udp 的包经常被 QOS
abcfreedom
2023-05-15 19:15:42 +08:00
@monkey110 感谢,我目前用的 ikuai 的系统做主路由,对外开放了 ss 的端口~ 之前在公有云服务上用一键脚本搭建服务,也碰到过被黑的情况,确实挺坑的,当时我的服务器被拿去恶意乱发邮件,以至于被云服务商强制关了😂
abcfreedom
2023-05-15 19:16:32 +08:00
@winson030
@JayZXu
@a632079
学到了,看到好多大佬推荐 tailscale ,之前对这块没太了解,是时候补补课了
abcfreedom
2023-05-15 19:19:07 +08:00
@tyhunter
@leaflxh
@yaott2020
感谢建议~
FrankAdler
2023-05-15 19:57:26 +08:00
定期更换密码 我觉得 ss 就足够了
baobao1270
2023-05-15 20:28:27 +08:00
SS 密码用 128 位随机字符串,怎么暴露?
除非主动泄露,比如不小心分享出去二维码。否则以现在的密码学设计,除非对方使用量子计算机,或者协议实现上有 0day ,否则不会有问题
当然也可以用 ZeroTrust 的思想,所有需要上公网的都直接上公网,强制 GitHub OAuth 登录+YubiKey 验证
azure2023us559
2023-05-15 20:35:18 +08:00
docker
azure2023us559
2023-05-15 20:36:29 +08:00
ss 换 wireguard , listen on ipv6 443 udp
abcfreedom
2023-05-16 09:16:12 +08:00
@FrankAdler
@baobao1270
@azure2023us559
学到了 感谢大佬们,准备 ss 换个密码先用着,有空了折腾一下 tailscale 和 wireguard
hezhile
2023-05-16 11:29:31 +08:00
zerotier +1
superchijinpeng
2023-05-16 13:01:54 +08:00
Tailscale ,也可以用 Cloudflare Tunnel
esee
2023-05-16 14:47:51 +08:00
@Jhma 你也说了没有痕迹,那你加了动态密码就能知道黑客没来过?安全都是相对的,你给门加了几百把锁,结果门和墙连接不牢固直接把门踹开了不也一样入侵,最后防的都是自己。
Jhma
2023-05-16 14:57:58 +08:00
@esee 至少二次认证是公认的比没有二次认证的安全,各大安全厂商也力推二次认证系统,简单的说,我明明有技术可以自己动手加锁,为何不加!
troilus
2023-05-16 18:07:19 +08:00
用 vmess ,配合规则

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/940084

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX